Novas falhas no Linux permitem que usuários comuns obtenham acesso root

Duas novas vulnerabilidades descobertas no kernel do Linux podem permitir que um usuário comum obtenha privilégios de administrador (root), assumindo controle total do sistema. As falhas afetam distribuições populares, como Debian, Ubuntu, Fedora e Red Hat Enterprise Linux (RHEL), e preocupam principalmente administradores de servidores e ambientes corporativos.

As vulnerabilidades foram catalogadas como CVE-2026-43503, conhecida como DirtyClone, e CVE-2026-46331, apelidada de pedit COW. A primeira recebeu nota 8,8 de 10 na escala de gravidade CVSS.

Como essas vulnerabilidades funcionam?

O kernel do Linux utiliza um mecanismo chamado Copy-on-Write (COW) para gerenciar a memória do sistema. Em condições normais, quando um processo precisa alterar um dado compartilhado, o sistema cria automaticamente uma cópia desse dado antes da modificação.

O problema é que, nessas duas vulnerabilidades, essa cópia nem sempre é criada corretamente. Como consequência, o kernel acaba alterando diretamente uma região de memória compartilhada, permitindo que um invasor modifique programas executados com privilégios elevados.

DirtyClone: como o ataque acontece

No caso da DirtyClone, o invasor carrega na memória um programa privilegiado, como o comando su, utilizado para trocar de usuário no Linux.

Em seguida, utilizando um túnel IPsec controlado pelo próprio atacante, ele força o kernel a clonar um pacote de rede que aponta para essa área de memória. Durante a descriptografia do pacote, o sistema sobrescreve parte do programa com instruções maliciosas.

Na próxima execução do comando su, o programa comprometido concede acesso de administrador ao invasor.

pedit COW explora outro componente do kernel

A segunda vulnerabilidade, chamada pedit COW, explora uma funcionalidade responsável pela edição de pacotes de rede, conhecida como act_pedit.

Assim como ocorre na DirtyClone, o kernel deixa de criar uma cópia privada da memória antes de modificá-la. Isso permite que programas armazenados em cache sejam alterados, abrindo caminho para a elevação de privilégios.

Por que essas falhas são difíceis de detectar?

Um dos fatores que tornam essas vulnerabilidades perigosas é que elas não alteram os arquivos armazenados no disco.

Toda a modificação acontece apenas na memória RAM, onde o kernel mantém uma cópia temporária dos programas. Por isso, ferramentas tradicionais de verificação de integridade, como Tripwire e AIDE, não conseguem identificar a invasão.

Embora um simples reinício do sistema elimine a alteração da memória, o invasor pode ter explorado a vulnerabilidade antes do reboot e comprometido completamente o ambiente.

Quem está mais exposto?

Para explorar as falhas, o atacante precisa obter uma permissão chamada CAP_NET_ADMIN, normalmente associada à administração de recursos de rede.

Em muitas distribuições Linux, essa permissão pode ser alcançada por usuários comuns através da criação de namespaces, ambientes isolados utilizados por containers e aplicações.

Os sistemas mais vulneráveis incluem:

  • Servidores compartilhados por vários usuários;
  • Plataformas de integração contínua (CI/CD);
  • Servidores que executam containers;
  • Clusters Kubernetes;

Ambientes onde usuários sem privilégios podem criar namespaces.

No Debian e Fedora, esse recurso vem habilitado por padrão, facilitando a exploração.

Já o Ubuntu 24.04 e versões mais recentes possuem restrições adicionais implementadas pelo AppArmor, dificultando o ataque, embora o kernel continue vulnerável.

Como se proteger

A principal recomendação é instalar imediatamente as atualizações disponibilizadas pela distribuição Linux utilizada.

A correção da DirtyClone foi incorporada ao kernel na versão 7.1-rc5, enquanto distribuições como Debian, Ubuntu e SUSE já disponibilizaram pacotes de segurança.

Já a correção da pedit COW depende da distribuição. O Debian corrigiu a versão Trixie, enquanto versões 11 e 12 ainda permanecem vulneráveis. Ubuntu e Red Hat também confirmaram que diversas versões de seus sistemas são afetadas.

Caso a atualização não seja possível imediatamente, especialistas recomendam desativar temporariamente a criação de namespaces por usuários sem privilégios utilizando um dos parâmetros abaixo:

Debian e Ubuntu: kernel.unprivileged_userns_clone=0

Red Hat (RHEL): user.max_user_namespaces=0

No entanto, essa medida pode afetar o funcionamento de containers sem privilégios e alguns ambientes de desenvolvimento.

DirtyClone faz parte de uma sequência de falhas

A DirtyClone não é um caso isolado. Ela é a quarta vulnerabilidade recente baseada no mesmo mecanismo de exploração.

Antes dela foram descobertas as falhas:

  • Copy Fail;
  • DirtyFrag;
  • Fragnesia.

Todas exploram situações em que o kernel trata incorretamente regiões de memória compartilhadas entre arquivos e pacotes de rede.

Segundo pesquisadores, o problema está relacionado ao próprio funcionamento interno do kernel. Enquanto todas as funções responsáveis por manipular fragmentos de rede não seguirem corretamente o mesmo padrão de proteção, novas variantes desse tipo de vulnerabilidade podem continuar surgindo.